Nu de GDPR inwerking is getreden, is de hamvraag of het toegenomen bewustzijn hierover bij organisaties in stand zal blijven, of dat we langzaam maar zeker terugvallen op de mentaliteit uit het verleden. De tijd zal het leren, maar voor de organisaties die data verzamelen was het Facebook-incident temidden alle tumult rond de introductie van de GDPR een duidelijk teken dat de gevolgen van de GDPR ernstig kunnen zijn.
Hoewel het lijkt alsof de gemiddelde gebruiker en onderneming de GDPR niet heeft zien aankomen, kwamen de gevolgen van gebrekkige gegevensbescherming kort voor de introductie van deze richtlijn voor gegevensbescherming prominent in de schijnwerpers te staan. In 2016 vond namelijk het incident met Cambridge Analytica en Facebook plaats. Het bleek dat persoonsgegevens van 87 miljoen Facebook-gebruikers in het geniep waren verzameld en ingezet voor politieke doeleinden. Dit gaf een krachtige boodschap af aan organisaties dat zijn zich bewuster moesten worden van de gevolgen van de GDPR.
Wat zijn de gevolgen van de GDPR voor organisaties in de EU?
Ondanks de voorbereidingsperiode van bijna twee jaar in aanloop naar de inwerkingtreding van de richtlijn op 25 mei 2018 was slechts een klein aantal bedrijven van mening dat zij volledig waren voorbereid op de gevolgen van de GDPR. Daar kunnen allerhande geldige reden voor zijn, maar feit is dat bedrijven achter de feiten aanlopen. Het is hoog tijd om voor hen om eerlijk te kijken naar hun beweegredenen, processen en procedures voor het verzamelen van persoonsgegevens.
Vanwege de snelle groei van de internetsector en het uitblijven van effectieve richtlijnen voor gegevensbescherming hanteerden de meeste bedrijven voor de komst van de GDPR ondoordachte procedures voor het verzamelen van data. Vaak verzamelden verschillende bedrijfsonderdelen zelfs precies dezelfde persoonsgegevens. Deze aanpak resulteerde vanzelfsprekend in een gebrekkig inzicht in de data die bedrijven in bestand hadden en de manier waar ze die gebruikten.
Een van de gevolgen van de GDPR is dat het bedrijven dwingt om na te denken over het verzamelen van persoonsgegevens vanuit het perspectief van ‘rechten versus verantwoordelijkheden’. Voordat de richtlijn van kracht ging, verzamelden bedrijven lukraak persoonsgegevens van gebruikers. In extreme gevallen was het bijzonder moeilijk voor deze gebruikers om niet met de verzameling daarvan in te stemmen. De gevolgen van de GDPR zijn onder meer dat de rollen omgedraaid zijn. Het is de gebruiker die grip en rechten op diens persoonsgegevens heeft en bepaalt of organisaties die wel of niet mogen verzamelen. Als een bedrijf nu persoonsgegevens wil verzamelen, moet het dat recht respecteren en duidelijkheid scheppen over hoe en waarom het persoonsgegevens verzamelt. Zodra toestemming van het gegevenssubject is verkregen (en de GDPR schrijft voor dat het net zo eenvoudig moet zijn voor het gegevenssubject om die weer in te trekken), moet het bedrijf dat de data verzamelt zich van een aantal verantwoordelijkheden kwijten.
Organisaties zijn daarmee gedwongen om hun strategieën voor het verzamelen van data opnieuw onder de loep te nemen, te beginnen met de manier waarop zij toestemming van gegevenssubjecten verkrijgen. Als die eenmaal is bemachtigd, is het van cruciaal belang dat de organisatie in staat is om de verzamelde persoonsgegevens in kaart te brengen en beheren. Daarnaast moeten bedrijven hun ongelijksoortige systemen verenigen om over een centraal overzicht te beschikken van alle gebruikersgegevens die ze in bestand hebben en hoe die wordt gebruikt. Dit geconsolideerde overzicht is een eerste vereiste om te kunnen reageren op verzoeken van gegevenssubjecten om hun persoonsgegevens over te dragen of volledig te wissen. Dit is waarschijnlijk de grootste uitdaging in de gevolgen van de GDPR.
Een van de andere gevolgen van de GDPR, lager op de lijst, maar niet minder belangrijk, is dat organisaties verantwoordelijkheid hebben om de verzamelde data te beschermen tegen cyberaanvallen en datalekken. Dit is het aspect dat de meeste aandacht kreeg in aanloop naar de bekrachtiging van GDPR. Want waar eerdere richtlijnen weinig of geen consequenties aan datalekken verbonden, doet de GDPR dat wel, en hoe.
Als er een datalek optreedt, heeft de getroffen organisatie maximaal 72 uur de tijd om het incident bij de toezichthouder te melden. Een interessante draai die de GDPR hieraan geeft is dat de organisatie zelf kan bepalen of het datalek ernstig genoeg is om te worden gemeld. Dat is namelijk niet nodig als “het lekken van persoonsgegevens naar alle waarschijnlijkheid geen afbreuk doet aan de rechten en vrijheden van de betrokkenen”. Als de organisatie ertoe besluit om het datalek wel te melden — iets wat niet per definitie in een boete hoeft te resulteren — moet die melding van een hoop informatie worden vergezeld. Dit maakt het belangrijker dan ooit om te weten waar persoonsgegevens precies liggen opgeslagen. En dat is geen sinecure.
De forse boetes die horen bij de gevolgen van de GDPR — 4% van de totale jaaromzet of een bedrag van 20 miljoen euro, waarbij telkens wordt uitgegaan van het hoogste bedrag — hebben ten doel om organisaties gefocust te houden op hun verplichting om de door hen verzamelde persoonsgegevens veilig te houden. Hoewel niemand kan voorspellen hoe de toezichthouder zal reageren wanneer het eerste grote datalek na de bekrachtiging van de GDPR plaatsvindt, voorziet deze richtlijn in sterke handhavingsmaatregelen die in de eerdere wetgeving ontbraken. In sommige lidstaten van de Europese Unie werd de maximale boete die voor de komst van de GDPR kon worden opgelegd zelfs beperkt door de richtlijnen zelf.
Wat zijn de gevolgen van de GDPR voor organisaties buiten de EU?
Hiermee zijn we aangekomen bij waarschijnlijk het meest omstreden en tegelijkertijd meest interessante aspect van de GDPR. Vanuit de veronderstelling dat persoonsgegevens het eigendom vormen van het gegevenssubject besloot de EU dat iedereen die woonachtig is in lidstaten van de EU (burger of niet) beschermd moest zijn door de bepalingen van de richtlijn. De fysieke locatie van de organisatie die de persoonsgegevens verzamelt, doet er niet toe. Hoe de richtlijn precies zal worden gehandhaafd en welke boetes worden opgelegd, zijn vragen die nog altijd niet zijn beantwoord. Een van de gevolgen van de GDPR kan daardoor zijn dat teams van advocaten zich klaarmaken voor het indienen van het eerste grote bezwaarschrift tegen de GDPR.
Voor multinationals met activiteiten in de EU is er sprake van een redelijk duidelijke situatie. Bovendien kent de EU een geschiedenis van het opleggen van boetes aan deze organisaties. De werkelijke vraag is hoe het zit met bedrijven die wel goederen of diensten aan ingezetenen van de EU leveren, maar niet over een fysieke aanwezigheid in de EU beschikken.
“On the Internet, nobody knows you’re a dog.”
Op dezelfde manier dat het internet dit citaat uit de befaamde cartoon inspireerde, heeft het zakelijke kansen gecreëerd voor bedrijven van alle omvang, en met name voor kleine en middelgrote bedrijven. Maar als het om gegevensbescherming gaat, zijn deze organisaties volgens de statistieken een stuk vatbaarder voor cyberaanvallen en datalekken.
Gelukkig maakt de EU een onderscheid tussen bedrijven wier websites goederen en diensten op wereldwijde schaal aanbieden en bedrijven die een inspanning leveren om zaken te doen met ingezetenen van de EU. Deze ‘inspanning’ kan het aanbieden van goederen en diensten in de lokale valuta, taal of domeinnamen omvatten of het bewaken/volgen van het gedrag van bezoekers van websites.
Tot dusver is het echter nog altijd niet duidelijk wat de gevolgen van de GDPR zullen zijn voor een bedrijf buiten de EU dat de richtlijn heeft geschonden.
Ondanks het feit dat de gevolgen van de GDPR torenhoge boetes en reputatieschade kunnen zijn in het geval van niet-naleving van de GDPR, kunnen sommige bedrijven die al dan niet in de EU zijn gevestigd nog steeds in de verleiding komen om datalekken niet of niet volledig te melden. En dat zou een kapitale fout zijn. Het is in dit verband belangrijk om te onthouden dat de GDPR er volledig op is gericht om bedrijven te dwingen om zich transparanter op te stellen en op meer verantwoorde wijze met persoonsgegevens om te gaan.